Granskningsloggar i Azure Active Directory

Som IT-administratör vill du veta hur it-miljön fungerar. Med informationen om systemets hälsotillstånd kan du bedöma om och hur du behöver svara på potentiella problem.

Som stöd för det här målet ger Azure Active Directory-portalen dig åtkomst till tre aktivitetsloggar:

• Inloggningar – Information om inloggningar och hur dina resurser används av användarna.
• Granskning – Information om ändringar som tillämpas på din klientorganisation, till exempel användare och grupphantering eller uppdateringar som tillämpas på klientorganisationens resurser.
• Etablering – Aktiviteter som utförs av etableringstjänsten, till exempel skapande av en grupp i ServiceNow eller en användare som importerats från Workday.

Den här artikeln ger dig en översikt över granskningsloggarna.

Vad är det?

Med granskningsloggarna i Azure AD får du åtkomst till poster för systemaktiviteter för efterlevnad. De vanligaste vyerna för den här loggen baseras på följande kategorier:

• Användarhantering

• Grupphantering

• Programhantering

Med en användarcentrerad vy kan du få svar på frågor som:

• Vilka typer av uppdateringar har tillämpats på användare?

• Hur många användare ändrades?

• Hur många lösenord ändrades?

• Vad har en administratör gjort i en katalog?

Med en gruppcentrerad vy kan du få svar på frågor som:

• Vilka grupper har lagts till?

• Finns det grupper med ändringar i medlemskap?

• Har ägare av en grupp ändrats?

• Vilka licenser har tilldelats en grupp eller en användare?

Med en programcentrerad vy kan du få svar på frågor som:

• Vilka program har lagts till eller uppdaterats?

• Vilka program har tagits bort?

• Har tjänstens huvudnamn för ett program ändrats?

• Har namnen på program ändrats?

• Vem gav tillstånd till ett program?

Vilken licens behöver jag?

Granskningsaktivitetsrapporten är tillgänglig i alla utgåvor av Azure AD.

Vem kan komma åt den?

För att komma åt granskningsloggarna måste du ha någon av följande roller:

• Säkerhetsadministratör
• Säkerhetsläsare
• Rapportläsare
• Global läsare
• Global administratör

Var kan jag hitta det?

I Azure Portal du flera alternativ för att komma åt loggen. På menyn Azure Active Directory du till exempel öppna loggen i avsnittet Övervakning.

Dessutom kan du gå direkt till granskningsloggarna med hjälp av den här länken.

Du kan också komma åt granskningsloggen via Microsoft Graph API.

Vad är standardvyn?

En granskningslogg har en standardlistvy som visar:

• datum och tid för förekomsten
• tjänsten som loggade förekomsten
• kategorin och namnet på aktiviteten (vad)
• status för aktiviteten (lyckades eller misslyckades)
• målet
• initieraren/aktören (vem) för en aktivitet

Du kan anpassa listvyn genom att klicka på Kolumner i verktygsfältet.

På så sätt kan du visa ytterligare fält eller ta bort fält som redan visas.

Välj ett objekt i listvyn för att få mer detaljerad information.

Filtrera granskningsloggar

Du kan filtrera granskningsdata i följande fält:

• Tjänst
• Kategori
• Aktivitet
• Status
• Mål
• Initierad av (aktör)
• Datumintervall

Med filtret Tjänst kan du välja från en listrutan med följande tjänster:

• Alla
• AAD Hanterings-UX
• Åtkomstgranskningar
• Kontoetablering
• Programproxy
• Autentiseringsmetoder
• B2C
• Villkorlig åtkomst
• Kärnkatalog
• Berättigandehantering
• Hybridautentisering
• Identity Protection
• Inbjudna användare
• MIM-tjänst
• MyApps
• PIM
• Självbetjäning, grupphantering
• Hantering av lösenord för självbetjäning
• Användningsvillkor

Med filtret Kategori kan du välja något av följande filter:

• Alla
• AdministrativeUnit
• ApplicationManagement
• Autentisering
• Auktorisering
• Kontakt
• Enhet
• DeviceConfiguration
• DirectoryManagement
• EntitlementManagement
• GroupManagement
• KerberosDomain
• KeyManagement
• Etikett
• Annat
• PermissionGrantPolicy
• Policy
• ResourceManagement
• RoleManagement
• UserManagement

Filtret Aktivitet baseras på vilken kategori och vilken aktivitetsresurstyp du väljer. Du kan välja en specifik aktivitet som du vill visa eller välja alla.

Du kan hämta listan över alla granskningsaktiviteter med hjälp av Graph API:https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

Med filtret Status kan du filtrera baserat på status för en granskningsåtgärd. Statusen kan vara något av följande:

• Alla
• Klart
• Fel

Med filtret Mål kan du söka efter ett visst mål genom att starta namnet eller användarens huvudnamn (UPN). Målnamnet och UPN är fallkänsliga.

Med filtret Initierad av kan du definiera vad en aktörs namn eller ett UPN (Universal Principal Name) börjar med. Namnet och UPN är fallkänsliga.

Med filtret Datumintervall kan du definiera en tidsram för returnerade data.
Möjliga värden:

• 7 dagar
• 24 timmar
• Anpassat

När du väljer en anpassad tidsram kan du konfigurera en starttid och en sluttid.

Du kan också välja att ladda ned filtrerade data, upp till 250 000 poster, genom att välja knappen Ladda ned. Du kan ladda ned loggarna i CSV- eller JSON-format. Antalet poster som du kan ladda ned begränsas av de principer Azure Active Directory kvarhållningsprinciper för rapporter.

Microsoft 365 aktivitetsloggar

Du kan visa Microsoft 365 aktivitetsloggar från Administrationscenter för Microsoft 365. Även Microsoft 365 aktivitetsloggar och Azure AD-aktivitetsloggar delar en stor del av katalogresurserna ger bara Administrationscenter för Microsoft 365 en fullständig vy över de Microsoft 365 aktivitetsloggarna.

Du kan också komma åt Microsoft 365 aktivitetsloggar programmatiskt med hjälp av Office 365-API:erför hantering.

Nästa steg

• Referens över granskningsaktiviteter i Azure AD
• Referens för kvarhållning av Azure AD-loggar
• Referens för svarstider i Azure AD-loggar
• Okända aktörer i granskningsrapporten